Ruby on rails 错误:Can';t验证CSRF令牌的真实性
我从莫代尔提交了一份Rails4表格。这个解决方案在Rails3.x中运行良好 代码如下:Ruby on rails 错误:Can';t验证CSRF令牌的真实性,ruby-on-rails,forms,ruby-on-rails-4,Ruby On Rails,Forms,Ruby On Rails 4,我从莫代尔提交了一份Rails4表格。这个解决方案在Rails3.x中运行良好 代码如下: <div class="modal fade" id="copy-product-addons"> <div class="modal-dialog"> <div class="modal-content"> <div class="modal-header"> <button type="button" cl
<div class="modal fade" id="copy-product-addons">
<div class="modal-dialog">
<div class="modal-content">
<div class="modal-header">
<button type="button" class="close" data-dismiss="modal">×</button>
<h4>Copy Add-Ons From:</h4>
</div>
<div class="modal-body">
<form id="addons-copy" method="POST" action="<%= copy_addons_product_path(@product) %>">
<%= select_tag "from", options_from_collection_for_select(@shop.enabled_products - [@product], 'id', 'name'), :class => "form-control %>
</form>
</div>
<div class="modal-footer">
<a href="#" class="btn btn-danger" data-dismiss="modal">Cancel</a>
<a href="#" onclick="$('#addons-copy').submit(); return false;" class="btn btn-primary">Copy Add-ons</a>
</div>
</div>
</div>
</div>
<% end %>
谢谢在Rails 4中,有一些约定可以防止针对HTML请求的CSRF攻击。这篇文章很好地解释了一般概念: 看起来您的控制器正在检查CSRF令牌,但您的表单没有发送。这是因为您在视图中使用的是手动
标记,该标记不包含所需的隐藏标记
如果您使用Railsform_tag
helper方法,Rails将自动为您生成真实性令牌,该令牌将作为表单的一部分发送:
<div class="modal-body">
<%= form_tag(copy_addons_product_path(@product), id: "addons-copy") do %>
<%= select_tag "from", options_from_collection_for_select(@shop.enabled_products - [@product], 'id', 'name'), :class => "form-control %>
<% end -%>
</div>
“表单控件%>
如果您检查将由此生成的HTML,您将看到一个隐藏的输入标记;如下所示:
这是令牌作为表单的一部分发送的方式。然后,您的控制器会将其与当前令牌进行比较,以验证没有CSRF尝试,并且您应该不会再遇到此错误。在Rails 4中,有一些约定可以防止HTML请求的CSRF攻击。因此,本文很好地解释了一般概念: 看起来您的控制器正在检查CSRF令牌,但您的表单没有发送。这是因为您在视图中使用的是手动
标记,该标记不包含所需的隐藏令牌
如果您使用Railsform_tag
helper方法,Rails将自动为您生成真实性令牌,该令牌将作为表单的一部分发送:
<div class="modal-body">
<%= form_tag(copy_addons_product_path(@product), id: "addons-copy") do %>
<%= select_tag "from", options_from_collection_for_select(@shop.enabled_products - [@product], 'id', 'name'), :class => "form-control %>
<% end -%>
</div>
“表单控件%>
如果您检查将由此生成的HTML,您将看到一个隐藏的输入标记;大概是这样的:
这是令牌作为表单的一部分发送的方式。然后,您的控制器会将其与当前令牌进行比较,以验证没有CSRF尝试,并且您不会再遇到此错误。看起来您没有设置CSRF令牌。使用Rails的form_标记helper@CristianoAlencar的可能副本:答案更接近外部API请求。这似乎是一个内部服务器请求,应该只使用Rails CSRF约定。正如@WesFoster所提到的,使用
form_tag
将正确设置令牌。我发现了一个很好的SO帖子,它很好地解释了CSRF的内容:。看起来你没有设置CSRF令牌。使用Rails的form_标记helper@CristianoAlencar的可能副本:答案更接近外部API请求。这似乎是一个内部服务器请求,应该只使用Rails CSRF约定。正如@WesFoster所提到的,使用form_tag
将正确设置令牌。我发现有一篇很好的帖子很好地解释了CSRF的内容:。